SHA-256主/從安全認證系統工作原理

數據保護（安全認證寫(xiě)操作）

除有效性驗證以外，多數系統還需要確保安全認證器中儲存的數據可信。出于這一考慮，可對安全認證器中的部分或全部EEPROM進(jìn)行“安全保護”。如果激活安全保護，在執行存儲器寫(xiě)操作時(shí)，要求主機向安全認證器提供主機安全認證MAC，證明自身的有效性。

主機安全認證MAC是利用新的存儲器數據、已有存儲器數據、安全認證器的唯一密鑰以及ROM ID、附加數據計算得到的。安全認證器使用自身的密鑰按照相同方式計算一個(gè)MAC.

合法主機重建安全認證器的密鑰，能夠生成有效的寫(xiě)保護MAC.接收到來(lái)自主機的MAC時(shí)，安全認證器將其與自身的計算結果進(jìn)行比較。只有兩個(gè)MAC相匹配時(shí)，才允許將數據寫(xiě)入EEPROM.即使MAC正確，也不能更改受寫(xiě)保護的用戶(hù)存儲區域（圖4）。

密鑰保護

安全認證器的密鑰和協(xié)處理器的主密鑰通過(guò)硬件設計進(jìn)行讀保護。如果需要，密鑰可采取寫(xiě)保護，防止利用已知密鑰代替未知密鑰來(lái)篡改安全認證器的存儲數據。綁定數據一般儲存在協(xié)處理器的存儲器內，應在安裝之后進(jìn)行讀保護。只要在受信任的生產(chǎn)環(huán)境下針對應用設置協(xié)處理器和安全認證器，這種級別的保護就非常有效。

DeepCover

DeepCover技術(shù)提供強大、經(jīng)濟的保護方案，可防止試圖偵測密鑰的芯片級攻擊。DeepCover技術(shù)包括多種監測芯片級篡改事件的有源電路，采用先進(jìn)的芯片級布線(xiàn)、布局技術(shù)，以及專(zhuān)利技術(shù)，有效抵御各種攻擊性操作。

雙向安全認證

上述系統的密鑰認證支持質(zhì)詢(xún)-應答安全認證和寫(xiě)保護操作（主機安全認證）。整個(gè)用戶(hù)存儲器可用于質(zhì)詢(xún)-應答安全認證，雙向安全認證適用于儲存安全數據（安全認證寫(xiě)操作）的存儲器區域。

總結

SHA-256的密鑰、質(zhì)詢(xún)和MAC均為256位，相對于原來(lái)的SHA-1安全認證方案有了顯著(zhù)改進(jìn)。本文介紹了最新的安全認證系統，該系統對主機系統（具有1-Wire主機的SHA-256協(xié)處理器）與傳感器/外設模塊（1-Wire SHA-256安全認證器）的匹配性進(jìn)行驗證。協(xié)處理器內部的1-Wire主機代替主機執行實(shí)時(shí)1-Wire通信。提供三種存儲器配置的DeepCover 1-WireSHA-256安全認證器，采用3.3V和1.8V供電，也可選擇采用3.3V和1.8V供電的協(xié)處理器/主機，支持三種安全認證器件。SHA-256安全認證的實(shí)施方案比以往任何時(shí)候都簡(jiǎn)單。